Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
Kochani,
Dziś zainstalowałem Pandę IS 2013. I po pełnym skanie wykrył mi Trojana Generica w pliku winlog.exe. Ścieżka to C:\Windows\sysprep32\ten plik co wyżej pisałem. Plik został usunięty i nie mogę go przywrócić. Nie ma go w kwarantanie. Przynajmniej nie umiem. Dawno nie używałem Pandy. Z tego, co czytałem to coś powiązanego z kontrolą rodzicielską. Pomożecie? Mam się czymś martwić? System uruchamia się normalnie.
1. PC:
Comodo Internet Security 6, WOT
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Hmm... Po wpisaniu frazy "Windows\sysprep32\winlog.exe widzę kilka tematów na temat infekcji... może to nie jest FP.
Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
Mnie się też wydaje, że coś na rzeczy jest, bo po usunięciu system się szybciej uruchamia i jakoś jest bardziej stabilniejszy.
1. PC:
Comodo Internet Security 6, WOT
Liczba postów: 263
Liczba wątków: 6
Dołączył: 11.04.2012
Reputacja:
12
Tylko czemu plik do kwarantanny nie poleciał?
Liczba postów: 1 748
Liczba wątków: 317
Dołączył: 01.12.2011
Reputacja:
77
W necie pisze, że po usunięciu tego trojana, system będzie szybciej się uruchamiał. Dla pewności zrób logi, niech ktoś je przejrzy.
Przy którym programie AV trojan ten wgrał się w system?
Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
McAlex napisał(a):Przy którym programie AV trojan ten wgrał się w system?
Nie mam pojęcia. Za chwilę wrzucę LOG''a.
Dodano: 27 wrz 2012, 22:01
LOG
[Aby zobaczyć linki, zarejestruj się tutaj]
1. PC:
Comodo Internet Security 6, WOT
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Hmm... Nic nie widze. Pare tylko niepotrzebnych smieci. Niech jeszcze Waves lub tachion sprawdza.
Liczba postów: 599
Liczba wątków: 20
Dołączył: 29.07.2012
Reputacja:
10
a to chyba powinny być 2 logi
Avast!
Malwarebytes Anti-Malware
HitmanPro
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Najwazniejszy jest OTL.txt, ale tak, powinien byc jeszcze Extras.txt
Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
Sprawdzi mi ktoś tego log''a?
1. PC:
Comodo Internet Security 6, WOT
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
Chyba jest coś więcej. Odemnie tylko to:
Do OTL w własne pole skanowania skrypt wklej:
Kod: :OTL
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
:Commands
[EMPTYTEMP]
[EMPTYFLASH]
Wykonaj skrypt .
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
chwila infekcja zeroaccess recycler jest najpierw wykonaj to
Kod: :OTL
FF - user.js - File not found
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\PDF Viewer\Win32\npPDFXCviewNPPlugin.dll File not found
O18:[b]64bit:[/b] - Protocol\Handler\livecall - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\ms-help - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\msnim - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlmailhtml - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlpg - No CLSID value found
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
:Commands
[EMPTYTEMP]
Później ściągnij ten program,zaznacz wszystko skan i podaj loga
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
tachion napisał(a):chwila infekcja zeroaccess recycler jest najpierw wykonaj to
Wykonałem i po restarcie pojawił się log .
Kod: All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Kuba
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 316263189 bytes
->Java cache emptied: 7004948 bytes
->FireFox cache emptied: 68306470 bytes
->Google Chrome cache emptied: 369390178 bytes
->Flash cache emptied: 84542 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 435337 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 392881039 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68032 bytes
RecycleBin emptied: 1913581108 bytes
Total Files Cleaned = 2 926,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 09292012_122724
Files\Folders moved on Reboot...
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Dodano: 29 wrz 2012, 12:37
tachion napisał(a):Później ściągnij ten program,zaznacz wszystko skan i podaj loga
[Aby zobaczyć linki, zarejestruj się tutaj]
Log
Kod: Farbar Service Scanner Version: 06-08-2012
Ran by Kuba (administrator) on 29-09-2012 at 12:36:28
Running from "C:\Users\Kuba\Downloads"
Microsoft Windows 7 Home PremiumService Pack 1 (X64)
Boot Mode: Normal
****************************************************************
Internet Services:
============
Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo IP is accessible.
Yahoo.com is accessible.
Windows Firewall:
=============
Firewall Disabled Policy:
==================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
System Restore:
============
System Restore Disabled Policy:
========================
Action Center:
============
Windows Update:
============
Windows Autoupdate Disabled Policy:
============================
Windows Defender:
==============
Other Services:
==============
File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys
[2012-09-12 17:22] - [2012-08-22 20:12] - 1913200 ____A (Microsoft Corporation) F782CAD3CEDBB3F9FFE3BF2775D92DDC
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
**** End of log ****
1. PC:
Comodo Internet Security 6, WOT
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Wyglada na to że jest ok,ściągnij jeszcze ten program i przeskanuj system dla pewności [Aby zobaczyć linki, zarejestruj się tutaj]
wpisy infekcji tym wariantem na czystym systemie wyglądają tak
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
"ThreadingModel" = Both
"" = C:\$Recycle.Bin\S-1-5-21-11723304-4265779792-3471812735-1000\$a3f5c8b2ca2e5f8dc9ccc34f2167f833\n. -- File not found
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\$Recycle.Bin\S-1-5-18\$a3f5c8b2ca2e5f8dc9ccc34f2167f833\n. -- File not found
"ThreadingModel" = Free
tak wiec myślę że jest ok ale lepiej sprawdzić
Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
Przeskanowałem tym programem.
Raport:
Kod: RogueKiller V8.1.0 [09/28/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Website: http://tigzy.geekstogo.com/roguekiller.php
Blog: http://tigzyrk.blogspot.com
Operating System: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Started in : Normal mode
User : Kuba [Admin rights]
Mode : Scan -- Date : 09/29/2012 17:14:51
¤¤¤ Bad processes : 0 ¤¤¤
¤¤¤ Registry Entries : 7 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : GG ("C:\Users\Kuba\AppData\Local\GG\Application\gghub.exe") -> FOUND
[RUN][SUSP PATH] HKUS\S-1-5-21-1596584087-480411513-844043613-1001[...]\Run : GG ("C:\Users\Kuba\AppData\Local\GG\Application\gghub.exe") -> FOUND
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (173.213.108.114:3128) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{3DA9D3C1-FCBF-4C31-A4F3-B90C238409B9} : NameServer (8.26.56.26,156.154.70.22) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{3DA9D3C1-FCBF-4C31-A4F3-B90C238409B9} : NameServer (8.26.56.26,156.154.70.22) -> FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Particular Files / Folders: ¤¤¤
¤¤¤ Driver : [NOT LOADED] ¤¤¤
¤¤¤ HOSTS File: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts
¤¤¤ MBR Check: ¤¤¤
+++++ PhysicalDrive0: HITACHI HTS725050A9A364 +++++
--- User ---
[MBR] ff156429bcf62485eb50c52b0bc36d6c
[BSP] 5cafccd8003e1a1148e9878e7482b0de : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 200 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 411648 | Size: 430420 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 881911808 | Size: 31210 Mo
3 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 945829888 | Size: 15109 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Finished : << RKreport[1].txt >>
RKreport[1].txt
Jest wszystko ok?
1. PC:
Comodo Internet Security 6, WOT
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
tak czysto<!-- s --> <!-- s -->
Liczba postów: 805
Liczba wątków: 46
Dołączył: 13.03.2012
Reputacja:
25
Dzięki tachion.
1. PC:
Comodo Internet Security 6, WOT
|